青莲晚报（第十八期）| 物联网安全多知道

黑客可通过智能插头入侵企业网络

McAfee 研究员发现贝尔金 Wemo Insight 智能插头出现了缓存溢出漏洞(CVE-2018-6692)。远程攻击者可以利用这个漏洞，绕过本地安全保护，通过伪造的 HTTP post 包访问企业网络并与联网设备交互。这个漏洞对于智能插座本身而言影响并不大，最多会被远程攻击者控制开关或者导致过载。但是，如果攻击者通过联网的智能开关进入网络，控制其他联网设备，就会增大风险。

详文阅读：

https://www.helpnetsecurity.com/2018/08/23/hacking-smart-plugs/?tdsourcetag=s_pctim_aiomsg

恩智浦芯片漏洞被发现，或影响数亿物联网设备

该高危芯片漏洞可能影响到数亿嵌入式及IOT产品：一方面，产品可能会面临着被克隆的危险，知识产权被盗窃；另一方面，联网的IOT设备，还有可能被植入恶意代码，设备被黑客操控。目前该漏洞已修复。

详文阅读：

http://3g.163.com/news/article/DOPP4J2705310CDR.html

韩国多家企业遭供应链攻击

安全研究员发现一起旨在通过一个远程访问木马 (RAT) 感染韩国组织机构以窃取有价值信息的供应链攻击。

这一攻击活动被称作“红色签名行动”，在7月份首次现身，是通过遭攻陷的某个远程支持解决方案提供商的更新服务器执行的。攻击的终极目标是通过 9002 RAT 后门感染目标。

攻击者设法窃取一个有效的数字证书并借此签名恶意软件。他们重新配置更新服务器将恶意文件传递到某个 IP 范围内的组织机构。

一旦 9002 RAT 位于受感染机器上后，它会安装其它恶意软件如互联网信息服务 (IIS) 6 WebDav（利用 CVE-2017-7269）和一个 SQL 数据库密码转储器的利用工具。

详文阅读：

http://seclists.org/fulldisclosure/2018/Aug/19

利用 AI 技术，黑客能用麦克风听出你在屏幕上看什么

研究人员利用普通麦克风设法从计算机显示屏上捕捉到声音信号并实时判断出屏幕上的内容类型。

这种技术可能导致攻击者运行监控操作、渗透信息或者监控受害者的浏览活动。研究人员研究了来自多个 LCD 屏的音频信号后注意到所显示的图像和声音之间存在关联。他们发现屏幕上显示的内容都具有独特的音频签名。

计算机屏幕产生的音频源自在调制电流时发出高音噪声的电源。声音根据渲染视觉内容时所需的功率要求而变化；这种声音无法被人耳听到，但常见的麦克风能检测并记录这种声音。通过使用简单的视觉模型分析了音频记录的频谱后，研究人员能够创建可用于识别其它捕获内容的指纹。

详文阅读：

http://codesafe.cn/index.php?r=news/detail&id=4404